防火牆功能
根據防火牆所支持的功能,可以使用各種技術來允許或阻止通信。基於防火牆的功能,這些技術提供了不同程度的保護。下列防火牆功能是按照複雜性遞增的順序列出的:
網絡適配器輸入篩選器
靜態數據包篩選器
網絡地址轉換 (NAT)
監控狀態的檢查
線路級檢查
應用程序層篩選
一般而言,提供複雜功能的防火牆也支持較簡單的功能。但是,在選擇防火牆時,應該仔細閱讀供應商信息,因爲在暗示的防火牆功能和實際功能之間可能會有細微的差異。防火牆的選擇通常涉及詢問有關功能以及進行測試,以確保產品確實具有說明書中的功能。
網絡適配器輸入篩選器
網絡適配器輸入篩選檢查傳入數據包中的源地址或目標地址及其他信息,然後阻止數據包通過或者允許它通過。它僅適用於傳入通信而無法控制傳出通信。它匹配 UDP 和 TCP 的 IP 地址和端口號,以及通信協議 TCP、UDP 和一般路由封裝 (GRE)。網絡適配器輸入篩選能夠快速有效地拒絕滿足防火牆中配置的規則標準的標準傳入數據包。但是,可以很容易地規避它,因爲它僅匹配 IP 通信頭,並假設正在篩選的通信符合 IP 標準並且沒有故意規避篩選。
靜態數據包篩選器
靜態數據包篩選器與網絡適配器輸入篩選器的類似之處在於它們僅簡單地匹配 IP 數據頭來確定是否允許通信通過接口。但是,靜態數據包篩選器允許控制接口的入站及出站通信。此外,靜態數據包篩選器通常在網絡適配器篩選上允許附加功能,可以檢查 IP 數據頭上是否設置了已確認的 (ACK) 位。ACK 位提供了有關數據包是一個新的請求還是來自原始請求的返回請求的信息。它不驗證數據包是否是由原先接收它的接口發送的;基於 IP 數據頭的規範,它僅檢查進入接口的通信是否顯示爲返回通信。
此技術僅適用於 TCP 協議,而不適用於 UDP 協議。與網絡適配器輸入篩選類似,靜態數據包篩選非常快,但是其功能受到限制並且特別精心製作的通信可以躲避它。
網絡地址轉換
在全球 IP 地址範圍內,某些地址範圍被指定爲“專用地址”。這些地址範圍旨在用於您的組織中,在 Internet 中沒有任何意思。爲其中的任何 IP 地址指定的通信無法通過 Internet 路由,因此爲您的內部設備指定專用地址可以提供一些針對入侵的保護。但是,這些內部設備本身經常需要訪問 Internet,所以網絡地址轉換 (NAT) 可以將專用地址轉換成 Internet 地址。
嚴格的講,雖然 NAT 不是一種防火牆技術,但是掩藏服務器的真正 IP 地址可以防止攻擊者獲取有關此服務器的有價值的信息。
狀態檢查
在狀態檢查中,所有傳出的通信都記錄在狀態表中。在連接通信返回到接口時,將檢查狀態表以確保這些通信來源於此接口。狀態檢查比靜態數據包篩選稍慢。但是,它可以確保僅在通信與傳出的通信請求匹配時,才允許通過。狀態表包括各種項目,如目標 IP 地址、源 IP 地址、正在調用的端口以及起始主機。
某些防火牆可能在狀態表中存儲了更多信息(如已發送和接收的 IP 分段),而其他防火牆存儲的較少。防火牆可以在所有或某些分段的信息返回時,驗證通信是否進行了處理。不同供應商的防火牆以不同的方式實現狀態檢查功能,因此您必須仔細閱讀防火牆文檔。狀態檢查功能通常有助於降低由網絡偵察和 IP 欺騙造成的風險。
線路級檢查
使用線路級篩選可以檢查會話(與連接或數據包相對)。會話可能包括多個連接。與動態數據包篩選類似,建立會話僅爲了響應用戶請求。線路級篩選爲次要連接提供了協議的內置支持,如 FTP 和流媒體。它通常有助於降低由網絡偵察、DoS 和 IP 欺騙攻擊造成的風險。
應用程序層篩選
防火牆通信檢查的最完善級別是應用程序級篩選。好的應用程序篩選器允許您分析特定應用程序的數據流並且提供應用程序特定的處理。在數據通過防火牆時,此處理包括檢查、篩分或阻止、重新定向以及修改數據。此機制用於保護諸如不安全的 SMTP 命令或對內部域名系統 (DNS) 的攻擊等事件。通常,用於內容篩分的第三方工具,如病毒檢測、詞彙分析和站點分類可以添加到您的防火牆中。
基於通過它的通信,應用程序層防火牆可以檢查許多的不同協議。與代理防火牆(通常檢查 Internet 通信,如 HTTP、FTP 下載和 SSL)不一樣,應用程序層防火牆可以更好地控制通過它的任何通信的方式。例如,應用程序層防火牆可以僅允許來源於防火牆邊界內的 UDP 通信通過。如果 Internet 主機要端口掃描監控狀態的防火牆以查看它是否允許 DNS 通信進入此環境,則此端口掃描可能會顯示與 DNS 關聯的衆所周知的端口已打開,但是一旦發動了攻擊,監控狀態的防火牆會拒絕這些請求,因爲它們不是從內部來的。根據通信是否來源於內部,應用程序層防火牆可能會動態地打開端口。
應用程序層防火牆功能有助於減輕由 IP 欺騙、DoS、一些應用程序層攻擊、網絡偵察和病毒/特洛伊木馬攻擊等造成的風險。應用程序層防火牆的缺點是它需要更多的處理能力並且通常在通過通信時比監控狀態的防火牆或靜態篩選防火牆的速度慢。在使用應用程序層防火牆時務必注意的是確定防火牆可以在應用程序層上做些什麼。
應用程序層篩選廣泛用於保護公開報露在外的服務。如果您的組織有收集信用卡號和其他有關客戶的個人信息的聯機存儲,採取最高級別的措施來保護這些信息是明智的。應用程序層功能可以確保通過端口的通信是適當的。與數據包篩選或監控狀態的檢查防火牆(它們只是簡單地查看端口和源 IP 地址和目標 IP 地址)不一樣,支持應用程序層篩選功能的防火牆可以檢查來回通過的數據和命令。
支持應用程序層功能的大多數防火牆僅可以對明文通信(如代理意識的消息服務、HTTP 和 FTP)進行應用程序層篩選。請無比記住,支持此功能的防火牆可以控制進出此環境的通信。此功能的另一個優點是在 DNS 通信通過防火牆時,可以檢查它以查找 DNS 特定的命令。此附加的保護層確保用戶或攻擊者無法在通信的允許類型中隱藏信息。